《计算机信息系统安全等级保护白皮书讲解》由会员分享,可在线阅读,更多相关《计算机信息系统安全等级保护白皮书讲解(44页珍藏版)》请在金锄头文库上搜索。
1、信息安全等级保护白皮书内蒙古信元信息安全评测有限责任公司目录一、背景3二、计算机信息系统安全等级保护是什么32.1计算机信息系统32.2信息安全等级保护3三、等级保护内容43.1 为什么要做等级保护43.2等级保护内容53.3相关政策及法律依据53.4等级保护工作意义7四、信息系统安全保护等级的划分与保护84.1“自主定级、自主保护”与国家监管84.2信息系统安全保护等级84.3信息系统安全保护等级的定级要素94.4五级保护和监管9五、等级保护具体内容和要求105.1信息安全等级保护定级工作105.2 信息安全等级保护备案工作155.3安全建设整改工作175.4 等级保护测评工作325.5 信
2、息安全等级保护监督检查40六、内蒙古信息安全等级保护测评中心416.1 团队组成41一、背景随着我国信息化建设程度越来越高,关系国计民生的重要领域信息系统已成为国家的关键基础设施,信息资源已成为重要的战略资源之一。当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节。信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准;监管措施有待到位,监管体系尚待完善。1994年经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,实行信息安全等级保护,重点保护基础信息网络和重要信
3、息系统安全,要抓紧安全等级保护制度建设。这一重大决定,明确落实了中华人民共和国计算机信息系统安全保护条例(国务院令147号)中关于实行信息安全等级保护制度的有关规定,提出了从整体上根本上解决国家信息安全问题的办法,进一步确定了信息安全的发展主线、中心任务,提出了总要求。对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。 同时为了更好的维护重要领域信息系统的安全,使安全保护工作走上法制化、规范化、制度化管理轨道。为进一步贯彻落实中华人民共和国计算机信息系统安全保护条例(国务院令147
4、号),国家相关主管部门相继颁布了一系列等级保护制度。国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)、信息安全等级保护管理办法(公通字200743号) 、关于信息安全等级保护工作的实施意见(公通字200466号) 、关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号)。自2007年开始,为了提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,从国家层面开始推动我国的政府、金融、电力、通信、交通灯基础行业在全国范围内组织开展重要信息系统安全等级保护工作。二、计算机信息系统安全等级保护是什么2.1计算机信息系统计算机信息系统是指以计算机或计算
5、机网络为主体,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,即信息管理与信息系统。信息的定义:信息是对事物运动状态和特征的描述,而数据是载荷信息的物理符号。信息管理过程就是信息的收集、传递、加工。判断、决策的过程,管理活动中流动的是信息。2.2信息安全等级保护信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上称为的一般指信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及
6、公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,保障信息系统安全正常运行和信息安全,提高信息安全综合防护能力,保障国家安全,维护社会秩序和稳定,保障并促进信息化建设健康发展,拉动信息安全和基础信息科学技术发展与产业化,进而牵动经济发展,提高综合国力。三、等级保护内容3.1 为什么要做等级保护当前,我国信息安全面临的形势仍然十分严峻,维护国家信息安全的任务十分艰
7、巨、繁重。一是西方敌对势力对我网上渗透和颠覆活动不断升级,我们将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。二是境内外反动势力在西方敌对势力的支持下,对我重要网络和信息系统频繁进行攻击破坏。2006年就发生几十起攻击我卫星广播电视和插播事件,今年以来又发生多起卫星受干扰事件和光缆遭人为破坏事件。随着我国经济的持续发展和国际地位的不断提高,我国的基础信息网络和重要信息系统正成为敌对势力、敌对分子进行攻击、破坏和恐怖活动的重点目标。三是计算机病毒传播和网络非法入侵十分严重。据公安机关调查,今年1-6月,我国平均每月截获计算机病毒6.6万个,累计感染计算机达1.18亿台次。今年初在我国
8、发生的“熊猫烧香”病毒案,短时间内就出现病毒变种700余个,感染了445万台计算机,大批网民的网上帐号、口令被窃取。四是网络违法犯罪持续大幅上升。仅2006年,公安机关就查处网上违法犯罪案件4万多起,查获违法犯罪嫌疑人3万多名,同比大幅上升。犯罪分子利用一些重要信息系统的安全漏洞,使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪,给用户造成严重损失,引发诸多社会问题。五是网上失、窃密情况严重。一些国家和地区间谍情报机关利用我一些单位、人员和信息系统防范不严、警惕性不高、安全措施不力的状况在网上大肆对我进行窃密活动,目标直指我党政军要害部门和重要信息
9、系统。近年来,已发生多起危害严重的网上失、窃密案件。六是网络安全管理不善,安全措施不到位,信息系统运行事故时有发生。金融、民航等重要信息系统连续发生运行事故,不仅直接影响生产业务的正常运行,而且造成了严重社会影响。面对复杂的信息安全形势,胡锦涛总书记等中央领导同志对信息安全工作始终高度重视,先后多次作出重要指示。在中央政治局第38次学习会上,胡锦涛总书记明确指出,当前,国际上围绕信息获取、利用、控制的斗争日趋激烈,维护国家在网络空间的安全和利益成为信息时代的重大战略课题。要求我们必须敏锐地把握当今世界信息化发展的趋势,积极推进国民经济和社会信息化,确保我国在日趋激烈的国际竞争中掌握主动权。 测
10、评工作对各单位的帮助1) 满足国家信息安全等级保护相关政策与标准要求2) 实现信息系统等级化保护和等级化管理。3) 帮助客户了解自身系统的安全性,了解信息安全现状和所面临的威胁,从而获得从业务面到技术面的整合需求。4) 帮助客户了解自身系统的安全要求底线,避免盲目的整改系统及采购设备,造成资金与资源的浪费。5) 建立有效的信息安全体系、完善信息安全架构,保障客户的业务数据安全与连续性。6) 通过完善管理制度增强客户的安全意识,减少和避免人为因素造成的安全事件的发生。3.2等级保护内容l 对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护;对信息系统按业务安全应用域和
11、区实行分级保护。l 对系统中使用的信息安全产品实行按分级管理。l 对等级系统的安全服务资质分级管理。l 对信息系统中发生的信息安全事件分等级响应、处置l 五个规定动作:信息系统定级、备案、安全建设整改、等级测评、监督检查。3.3相关政策及法律依据3.3.1相关政策 1994年国务院发布了中华人民共和国国务院令(147号)中华人民共和国计算机信息系统安全保护条例。自此,国家相关主管部门陆续发布了多项政策及标准,等级保护作为国家信息安全保障整改建设的标准,逐步进入落地阶段: 2003年中办、国办联合发布的中办发200327号文件,关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知; 2
12、004年公安部、保密局、国密办以及国信办联合发布的公通字200466号文件关于信息安全等级保护工作的实施意见; 2007年公安部、保密局、国密办和国信办联合发布的公通字200743 号文件信息安全等级保护管理办法。 2007年公安部、保密局、国密办和国信办联合发布的公信安2007861号文件关于开展全国重要信息系统安全等级保护定级工作的通知。 2007年公安部发布的公信安20071360号文件信息安全等级保护备案实施细则。 2008年公安部发布的公信安2008736号文件公安机关信息安全等级保护检查工作规范。 2008年公安部、保密局、国家发改委发布的发改高技20082071号文件关于加强国家
13、电子政务工程建设项目信息安全风险评估工作的通知 2009年公安部发布的公信安20091429号文件关于开展信息安全等级保护安全建设整改工作的指导意见。 2010年公安部发布的公信安2010303号文件关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知。3.3.2国家相关政策在计算机信息系统安全等级保护工作中的作用:3.3.3地区性政策及其他行业指导性文件 内蒙古自治区相关文件 2011年内蒙古自治区人民政府发布第183号政府令内蒙古自治区计算机信息系统安全保护办法,自2012年2月1日期施行,计算机系统信息安全等级保护工作在内蒙古自治区进入落地阶段 2012年内蒙古自治区发改委、财政
14、厅、公安厅、保密局、内网办联合发布内发改高技字(2012)2242号文件转发国家发改委等五部门关于进一步加强国家电子政务网络建设和应用工作的通知 2013年内蒙古自治区人民政府办公厅发布内政办(2013)133号文件内蒙古自治区人民政府办公厅关于开展政府网站信息安全等级保护工作的通知3.3.4其他行业指导性文件 2007年国家电力监管委员会发布电监信息200744号电力行业信息系统等级保护定级工作指导建议、电监信息200750号电力行业网络与信息安全监督管理暂行规定 2011年国家卫生部发布卫办发201185号文件卫生行业信息安全等级保护工作的指导建议 2012年央行发布银发2012163号文
15、件中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见,2012171号文件中国人民银行关于发布金融行业信息系统信息安全等级保护实施指引等三项行业标准的通知。3.4等级保护工作意义信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。实施信息安全等级保护制度,信息系统运营使用单位和主管部门能按照标准进行安全建设、整改,信息系统安全与否也有了一个衡量尺度。信息安全等级保护有效体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效保护重要信息系统安全,有效提高我国信息和信息系统安全建设的整体水平。建立信息安全等级保护制度,开展信息安全等级保护工作,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信
